新しいパッチ タスクの作成

パッチ タスクは、対象コンピュータがインストールされていないパッチをスキャンする方法と日時を定義します。 未インストールと判定されたパッチを任意で配布することもできます。 パッチ タスクを作成しない場合、このポリシーが割り当てられているエージェントによってパッチ スキャンまたはパッチ配布が実行されません。

組織でサポートしているオペレーティング システムによっては、作成するパッチ タスクが Windows コンピュータ用である場合、Linux コンピュータ用である場合、またはその両方である場合があります。 コンテンツレスな Linux パッチ適用の場合と、コンテンツ ベースの Linux パッチ適用の場合で、それぞれ別のパッチ タスクがあります。1 つのエージェント ポリシーにつき、複数のパッチ タスクを作成できます。 タスク タイトルバーにあるアイコン () を使用すると、各タスクを展開および折りたたみできます。 これで、作業中のタスクだけを一度に表示できます。

エージェント ポリシーで作成できるパッチ タスク数には理論的な上限がありませんが、運用上の上限はあります。 たとえば、ポリシーに含まれているパッチ タスクが多すぎると、そのポリシーの追跡や管理が困難になる可能性があります。 また、複数の異なるパッチ タスクでパッチ配布を有効にした場合、問題が発生する可能性もあります。 スキャンは比較的ユーザに対して透過的ですが、パッチの配布はユーザのコンピュータの再起動を伴うことが多く、透過的ではないためです。 また、同じコンピュータで同時に複数の配布を実行するリスクがあります。

エージェント パッチ タスクは [パッチ] タブで構成します。 既存のパッチ タスクを編集することも、[Windows パッチ タスクの追加] または [Linux パッチ タスクの追加] のいずれかをクリックして新しいタスクを作成することもできます。 このタスクの名前は、Windows クライアント プログラム内で表示されることになるため、タスクにはわかりやすい名前を付けてください。

Windows パッチ タスクの構成

パッチ スケジュールでは、対象コンピュータでタスクを実行する頻度を指定します。 特定の時刻または特定の繰り返しパターンでタスクを定期的に実行できます。 各エージェントにはビルトインのスケジューラがあります。 スケジュールされたパッチ タスクを開始する直前に、スケジューラは新しいパッチ データを確認します。

エージェント スケジューラは、同じエージェント エンジンを直列実行します。 たとえば、いずれも午前1:00に開始される2つのパッチ タスクを含むポリシーを定義した場合、両方の資産タスクが1:00に開始されるのではなく、直列実行 (順次連続実行) されます。

フィールド

説明

スケジュールを利用

有効な場合、タスクはエージェント コンピュータでスケジュール設定に従い繰り返して実行されます。 有効ではない場合、スケジュール設定は無視され、タスクはコンソールから、またはエージェント コンピュータから手動で開始する必要があります。

毎時

タスクを 1 時間ごとに実行するようにスケジュールできます。

  • hh 時間ごとに実行:スキャンの間隔 (時間) を正確に指定できます。 有効な値は 1 ~ 100 時間です。
  • 開始時刻を指定:最初のスキャンが指定した時刻に開始されます。 後続のスキャンは、[hh 時間ごとに実行] で指定した間隔で実行されます。

毎日

指定した日の指定した時刻にタスクが実行されます。 たとえば、このオプションを使用すると、毎日深夜、毎週土曜日の午後9:00、または毎月第1日曜日の午前1:00などに、スキャンを実行できます。

毎日オプションを使用して、Microsoft の Patch Tuesday など定期的な毎月のイベントと連動してタスクをスケジュールすることもできます。たとえば、毎月のパッチ スキャンを Patch Tuesday の翌日にスケジュールする場合、第 2 火曜日を指定し、遅れ (日) を追加オプションを使用してタスクを 1 日遅らせることができます。

スケジュール時刻をランダムに設定 (分)

タスクを実行する正確な時刻をずらし、パッチ ファイル、スキャン エンジンなどのダウンロード要求が同時に発生すること起因するコンソールまたは指定配布サーバの過負荷を防止します。

スケジュールで実行できなかった場合、起動時に実行する

対象コンピュータの電源が切れていて、スケジュールされたタスクが実行されなかった場合、このオプションを使用すると、コンピュータの再起動時にタスクを自動的に強制実行できます。 [起動後の遅延 (分)] チェック ボックスをオンにしていない限り、タスクは即時実行されます。チェック ボックスがオンの場合、指定された時間 (分) だけ実行が延期されます。

 

フィールド 説明

パッチ スキャン テンプレート

エージェントでパッチ スキャンを実行するときに使用するテンプレートを指定する必要があります。 パッチ スキャン テンプレートは、スキャン対象の項目とスキャン中に無視する項目を正確に指定します。 選択可能なテンプレートのリストには、定義済みのテンプレート (セキュリティ パッチ スキャンとすべてのパッチ) と、既に自分で定義したカスタム テンプレートが表示されます。 次の手順も実行できます。

  • 新規:新しいパッチ スキャン テンプレートを作成できます。
  • 編集:既存のカスタム パッチ スキャン テンプレートを編集できます。 定義済みのテンプレートは編集できません。 現在エージェント ポリシーで使用されているテンプレートを編集して保存する場合は、次回コンソールでチェックインすると、そのポリシーを使用するエージェントが更新されます。

[新規] または [編集] をクリックする場合、[パッチ スキャン テンプレート] ダイアログが表示されます。テンプレートの設定の詳細については、「新しいパッチ スキャン テンプレートの作成」を参照してください。

パッチ スキャン テンプレートの自動配布機能と自動電子メール機能は、Security Controls Agent でサポートされていません。 この機能が有効な場合は、無視されます。

配布テンプレート

エージェントでパッチ配布を実行するときに使用するテンプレートを指定する必要があります。 選択可能なテンプレートのリストには、定義済みの配布テンプレート (エージェント標準、標準、および仮想マシン標準) と既に自分で定義したカスタム テンプレートが表示されます。 次の手順も実行できます。

  • 新規:新しい配布テンプレートを作成できます。
  • 編集:既存のカスタム配布テンプレートを編集できます。 定義済みの配布テンプレートは編集できません。 現在エージェント ポリシーで使用されているテンプレートを編集して保存する場合は、次回コンソールでチェックインすると、そのポリシーを使用するエージェントが更新されます。

[新規] または [編集] をクリックする場合、[配布テンプレート] ダイアログが表示されます。テンプレートの設定の詳細については、「配布テンプレートの作成」を参照してください。

配布テンプレートで指定できる自動電子メール通知、カスタム処理、および配布サーバ オプションは、Security Controls Agentに適用されません。

パッチの配布

パッチ スキャンで未インストールと判定されたパッチをエージェントによって自動的に配布できるようにする場合は、このチェック ボックスをオンにします。

エージェントがパッチ配布を実行するときには、次のパッチのみが配布されます。

  • パッチ スキャン テンプレートでスキャンされたサービス パック
  • 未インストールと報告されたサービス パック
  • 承認済みパッチと定義。

承認されたパッチは、スキャンによって欠落が検出されたすべてのパッチである場合もあれば、パッチ グループで定義したパッチやパッチ ベンダーによって重要と見なされたパッチに限定された場合もあります。 ここで定義された承認済みパッチのリストは、この特定のパッチ タスクにバインドされます。 このリストは、エージェント ポリシー内の他のパッチ タスクによって使用されません。

  • 見つからない項目として検出されたすべてのパッチ:未インストールと判定されたすべてのパッチを配布できることを指定します。
  • パッチ グループ:指定したパッチ グループに含まれるパッチのみがエージェントによって配布されます。 このグループに含まれない未インストールのパッチがスキャンによって検出された場合、これらのパッチは配布されません。

    • すべてのベンダの緊急パッチ:配布対象として承認されたパッチのリストには、パッチ グループで定義されたパッチの他に、パッチ ベンダによって緊急に指定されたパッチも含まれます。 これにより、パッチ グループが古い場合でも、新しい緊急パッチを確実に配布できます。

    ベンダによって緊急に指定されたパッチを配布するには、このチェック ボックスをオンにしてから、[パッチ グループ] ボックスで空のパッチ グループを指定します。

  • 新規:新しいパッチ グループを作成できます。 詳細については、「パッチ グループの作成と編集」をご参照ください。
  • 編集:選択したパッチ グループに対して変更を加えることができます。修正すると、パッチ グループを参照するスキャン テンプレートに影響します。 注意してください。 現在エージェント ポリシーで使用されているパッチ グループを編集して保存する場合は、次回コンソールでチェックインすると、そのポリシーを使用するエージェントが更新されます。

製品レベルとパッチの両方が不足しているエージェント コンピュータへの製品レベルの配布も有効にすると ([製品レベルの配布] オプションをご参照ください)、製品レベルが最初に配布されます。

パッチ配布プロセス

承認済みのパッチのリストが決定された時点で、優先度に従い、パッチがダウンロードおよびインストールされます。 最初にセキュリティ パッチがダウンロードされ、その後に他のすべてのパッチ タイプが続きます。 ダウンロードは他のアプリケーションで使用されていないアイドル帯域幅を使用し、バックグラウンドで実行されます。 Web 閲覧などのフォアグラウンド タスクは、パッチのダウンロード処理の影響を受けません。

各パッチ タスクには、未インストールのパッチをダウンロードする時間として 60 分間が割り当てられます。 (これは、不足している製品レベルおよびパッチのウンロードに割り当てられた合計2時間のメンテナンス期間の一部です)。この60分の期間に正常にダウンロードされたパッチのみがアクティブなパッチタスクによってインストールされます。)この 60 分間に正常にダウンロードされたパッチのみが、有効なパッチ タスクによってインストールされます。 パッチ タスクが 60 分間以内にすべての未インストールのパッチをダウンロードできない場合、残りのパッチは次回のパッチ タスク実行時に特定、ダウンロード、およびインストールされます。

ファイル ダウンロード中にエージェント コンピュータがネットワークから切断された場合、処理は一時停止し、ネットワークに再度接続したときに中断された場所から自動的に再開します。 この方式はチェックポイント/再開と呼ばれ、頻繁にネットワークが切断されるコンピュータで非常に有効です。

製品レベルの配布

パッチ スキャンで不足していると判定された製品レベルをエージェントによって自動的に配布できるようにする場合は、このチェック ボックスをオンにします。

エージェントが製品レベルの配布を実行する際、配布されるのは、次のタイプの製品レベルのみです。

  1. パッチ スキャン テンプレートでスキャンされたサービス パック
  2. 未インストールと報告されたサービス パック
  3. 配布が承認されたサービス パック

スキャンで不足と検出されたすべての製品レベルを承認済み製品レベルとすることも、製品レベル グループで定義した製品レベルに限定して承認済み製品レベルとすることもできます。 ここで定義した承認済み製品レベルのリストを、特定のパッチ タスクにバインドします。 このリストは、エージェント ポリシー内の他のパッチ タスクによって使用されません。

  • 詳細情報: 製品レベル グループがプログラムでどのように使用されるかを説明した「製品レベル グループについて」というヘルプ トピックへのリンク。
  • 不足と検出されたすべての製品レベル: 不足と特定されたすべての製品レベルが配布の対象となることを指定します。
  • 製品レベル グループ: 指定した製品レベル グループに含まれている製品レベルのみが、エージェントによって配布されます。 スキャンで検出された不足している製品レベルがこのグループに含まれていない場合、それらの製品レベルは配布されません。
  • 配布を制限 (1 日あたり): 1日にコンピュータに配布できる製品レベルの最大数を指定します。 製品レベルの配布は長時間かかる可能性がある上、ほとんどの場合コンピュータの再起動が必要になるため、通常は、小さい数にしておくことをお勧めします。 1日の製品レベルの配布数を制限しないと、コンピュータに不足している製品レベルが大量にある場合に、そのコンピュータに非常に大きな負担がかかるリスクがあります。 指定した制限より多くの製品レベルがコンピュータに不足している場合、追加分の製品レベルは次回パッチ タスクが実行されたときに配布されます。

    • ヒント:この場合の「日」は暦日単位であり、24 時間の期間ではありません。 つまり、1 日は深夜 0 時にリセットされます。 時間ベースで実行されるようにパッチ タスクをスケジュールすると (推奨されません)、午前0時までに最大数の製品レベルを配布し、.午前0時を過ぎたらまたすぐに配布することで、夜間のメンテナンス期間を最大化することも可能になります。

  • 新規:新しい製品レベル グループを作成できます。 詳細は、「製品レベル グループの作成と編集」をご参照ください。
  • 編集: 選択した製品レベル グループに対して変更を加えることができます。 ここで行った変更はすべて、その製品レベル グループを参照しているすべてのパッチ タスクに影響しますので、注意してください。 また、現在エージェント ポリシーで使用されている製品レベル グループを編集して保存した場合は、そのポリシーを使用するエージェントは、次回コンソールにチェックインしたときに更新されます。

製品レベルの配布プロセス

エージェント コンピュータに複数の製品レベルが不足している場合、一度にインストールされる製品レベルは1つだけです。パッチ タスクは、不足しているすべての製品レベルのダウンロードを開始することから始めます。 オペレーティング システムの製品レベルが優先的にダウンロードされますが、最初にダウンロードされた製品レベルが最初にインストールされる対象となります。 製品レベルが正常にインストールされると、コンピュータが再起動され、再スキャンされます。 このプロセスが、すべての製品レベルが配布されるまで、または1日の制限に達するまで ([配布を制限 (1 日あたり)] をご参照ください) 反復されます。

また、各パッチ タスクには、ダウンロード、インストール、再起動、再スキャンの一連の処理を完了する時間として、60 分間が割り当てられます。 (これは、不足している製品レベルおよびパッチのウンロードに割り当てられた合計2時間のメンテナンス期間の一部です)。 この60分の期間に正常にダウンロードされた製品レベルのみがアクティブなパッチタスクによってインストールされます。不足しているすべての製品レベルのダウンロードをパッチ タスクがこの60分間で完了できない場合、残りの製品レベルは、次回パッチ タスクが実行されたときに特定され、ダウンロードされ、インストールされます。

ダウンロードは他のアプリケーションで使用されていないアイドル帯域幅を使用し、バックグラウンドで実行されます。 Web 閲覧などのフォアグラウンド タスクは、製品レベルのダウンロード プロセスの影響を受けません。

ファイル ダウンロード中にエージェント コンピュータがネットワークから切断された場合、処理は一時停止し、ネットワークに再度接続したときに中断された場所から自動的に再開します。 この方式はチェックポイント/再開と呼ばれ、頻繁にネットワークが切断されるコンピュータで非常に有効です。

Linux パッチ タスクの構成

コンテンツレスな Linux パッチ適用方法の場合は、個別のパッチ スキャン構成はありません。Linux パッチ タスクが実行されるたびに、不足しているすべてのパッケージとアドバイザリを調べるスキャンが実行されます。その後、Linux パッチ タスクの一部として、別途配布オプションを指定できます。以前のコンテンツ ベースの Linux パッチ適用方法の場合は、[スキャンと配布オプション] を指定する必要があります。

パッチ スケジュールでは、対象コンピュータでタスクを実行する頻度を指定します。 特定の時刻または特定の繰り返しパターンでタスクを定期的に実行できます。

フィールド

説明

スケジュールを利用

有効な場合、タスクはエージェント コンピュータでスケジュール設定に従い繰り返して実行されます。 有効でない場合、スケジュール設定は無視され、タスクをエージェント コンピュータでコマンドライン ユーティリティを使用して手動で開始する必要があります。

毎時

タスクを 1 時間ごとに実行するようにスケジュールできます。

  • 実行間隔 (時間): スキャンとスキャンの間隔を正確に何時間空けるかを指定できます。 有効な値は 1 ~ 100 時間です。
  • 開始時刻を指定:最初のスキャンが指定した時刻に開始されます。 後続のスキャンは、[hh 時間ごとに実行] で指定した間隔で実行されます。

毎日

指定した日の指定した時刻にタスクが実行されます。 たとえば、このオプションを使用すると、毎日深夜、毎週土曜日の午後9:00、または毎月第1日曜日の午前1:00などに、スキャンを実行できます。

毎日オプションを使用して、Microsoft の Patch Tuesday など定期的な毎月のイベントと連動してタスクをスケジュールすることもできます。たとえば、毎月のパッチ スキャンを Patch Tuesday の翌日にスケジュールする場合、第 2 火曜日を指定し、遅れ (日) を追加オプションを使用してタスクを 1 日遅らせることができます。

スケジュール時刻をランダムに設定 (分)

タスクを実行する正確な時刻をずらし、パッチ ファイル、スキャン エンジンなどのダウンロード要求が同時に発生すること起因するコンソールまたは指定配布サーバの過負荷を防止します。

スケジュールで実行できなかった場合、起動時に実行する

対象コンピュータの電源が切れていて、スケジュールされたタスクが実行されなかった場合、このオプションを使用すると、コンピュータの再起動時にタスクを自動的に強制実行できます。 [起動後の遅延 (分)] チェック ボックスをオンにしていない限り、タスクは即時実行されます。チェック ボックスがオンの場合、指定された時間 (分) だけ実行が延期されます。

フィールド

説明

Linux パッチ スキャン構成 (コンテンツ ベースのみ)

コンテンツ ベースの Linux パッチ適用の場合、エージェントが Linux パッチ スキャンを実行するときに使用する構成を指定する必要があります。パッチ スキャン構成により、スキャン対象の項目とスキャン中に無視する項目を正確に指定します。 選択可能な構成のリストには、2 つの定義済みの構成 (セキュリティ パッチ スキャンとすべてのパッチ スキャン) と、既に自分で定義したカスタム構成が表示されます。 次の手順も実行できます。

  • 新規:新しいパッチ スキャン構成を一から作成できます。
  • 編集:既存のカスタム パッチ スキャン構成を編集できます。 定義済み構成は編集できません。 現在エージェント ポリシーで使用されている構成を編集して保存した場合、そのポリシーを使用するエージェントは、次回コンソールにチェックインしたときに更新されます。

[新規] または [編集] をクリックすると、[Linux パッチ スキャン構成] ダイアログが表示されます。詳細は「Linux パッチ スキャン構成の作成と編集」をご参照ください。

Linux パッチ配布構成

エージェントがパッチ配布を実行するときに使用する構成を指定する必要があります。 選択可能な構成のリストには、定義済みの配布構成 (Linux パッチ配布) と、既に自分で定義したカスタム構成が表示されます。 次の手順も実行できます。

  • 新規:新しい配布構成を一から作成できます。
  • 編集:既存のカスタム配布構成を編集できます。 定義済み配布構成は編集できません。 現在エージェント ポリシーで使用されているテンプレートを編集して保存する場合は、次回コンソールでチェックインすると、そのポリシーを使用するエージェントが更新されます。

[新規] または [編集] をクリックすると、[Linux パッチ配布構成] ダイアログが表示されます。詳細は、「Linux パッチ配布構成の作成と編集」をご参照ください。

エージェント ポリシーの保存

フィールド

説明

エージェントを保存して更新

ポリシー ファイルへのすべての変更を保存し、コンソールに格納します。 また、次のように、現在このポリシーが割り当てられていないエージェント コンピュータを更新します。

  • エージェント コンピュータがオンラインで、ポリシー更新をリスニングするように構成されている場合は、更新されたポリシーがただちにコンピュータにプッシュされます。
  • エージェント コンピュータがオンラインで、ポリシー更新をリスニングするように構成されていない場合は、次回エージェントがコンソールにチェックインするときに、更新されたポリシーがプッシュされます。
  • エージェント コンピュータがオンラインではない場合は、次回エージェントがコンソールにチェックインするときに、更新されたポリシーがプッシュされます。

[エージェント ポリシー エディタ] が閉じます。

保存

すべての変更をポリシー ファイルに保存してから、エージェント ポリシー エディタを閉じます。 変更内容はリスニング エージェントにプッシュされません。

キャンセル

前回の変更を保存せずに、エージェント ポリシー エディタを終了することを示します。 「変更を保存しますか? 」というメッセージが表示され、変更を保存するかどうかを確認します。[はい] をクリックした場合、ポリシーが保存され、関連付けられたエージェントが更新されます ([エージェントを保存して更新] と同様)。 [いいえ] をクリックすると、変更は保存されずに、エージェント ポリシー エディタが閉じます。